Satellite Tailscale — Ep.5

Context

Tailscale 메시 네트워크의 기본 연결 구성 이후, 디바이스들은 상호 도달 가능하지만 명명 체계와 접근 제어 정책이 없는 상태였다. 관리자는 IP 주소(100.x.x.x) 기반으로 수동 접근을 관리해야 했으며, 모든 디바이스가 다른 모든 디바이스에 전체 포트 접근 권한을 가진 상태였다.

Technical Solution

• MagicDNS 활성화: 각 디바이스의 호스트명을 Tailscale IP로 자동 해석하여 ssh yourusername@100.87.123.45 대신 ssh yourusername@mac-mini-m4 사용 가능하게 구성
• HuJSON 형식 ACL 정책 정의: tagOwners, groups, acls, ssh 섹션으로 구성된 접근 제어 규칙을 admin console의 Access Controls 탭에 작성
• 태그 기반 디바이스 분류: tag:home-base, tag:mobile, tag:server 등으로 디바이스 역할을 태그하고 정책 규칙에서 참조
• 최소 권한 원칙 적용: 모바일 디바이스(tag:mobile)는 홈 베이스(tag:home-base)의 SSH(22), VNC(5900), RustDesk(21115-21119) 포트만 접근 가능하도록 제한
• Tailscale 관리형 SSH 정책: group:owner가 tag:home-base 디바이스에 비루트 사용자로 SSH 접근할 수 있도록 설정하여 키 관리 제거

Key Takeaway

MagicDNS와 ACL을 결합하면 개인 메시 네트워크를 명시적 정책 기반 구조로 전환할 수 있으며, 호스트명 기반 접근과 역할 기반 태그를 통해 운영 복잡도와 보안 위험을 동시에 감소시킬 수 있다.